Informácie sú aktíva, ktoré majú mimoriadnu hodnotu a zároveň sú nesmierne zraniteľné. Každá organizácia musí zodpovedne a obozretne pristupovať k ich ochrane. Jediný incident, strata, odhalenie, krádež citlivých informácií môže mať dramatický dopad na organizáciu. Strata dôveryhodnosti a poškodené renomé v konečnom dôsledku znamená pre organizáciu stratu konkurencieschopnosti a potenciálnych obchodných príležitostí.
ISO/IEC 27001 je medzinárodne uznaný štandard, ktorý definuje požiadavky na systém manažérstva bezpečnosti informácií, ISMS (z angl. Information Security Management System). Certifikácia organizácie podľa normy ISO/IEC 27001 je najdôležitejšou certifikáciou kybernetickej bezpečnosti. Organizáciám ponúka návod, ako plánovať, implementovať, monitorovať a zlepšovať informačnú bezpečnosť. Požiadavky normy sú všeobecne uplatniteľné a aplikovateľné na súkromné aj verejné spoločnosti alebo neziskové organizácie.
Systém manažérstva bezpečnosti informácií ISO/IEC 27001 je určený pre všetky organizácie, ktoré majú záujem:
- položiť základ pre obchodný úspech a kybernetickú bezpečnosť
- odvrátiť cielené útoky a nežiadúce prerušenia
- zistiť riziká a slabé miesta riadenia bezpečnosti informácií
- vylepšiť celú IT infraštruktúru
- systematicky a štruktúrovane optimalizovať informačnú bezpečnosť
Požiadať o certifikáciu ISO/IEC 27001 môže každá organizácia, bez ohľadu na jej zameranie, typ, či veľkosť.
Zavedením systému manažérstva bezpečnosti informácií podľa normy ISO/IEC 27001 organizácia získa:
- súlad so zákonnými nariadeniami o ochrane osobných údajov
- vysokú úroveň integrity a dôvernosti informácií, ako aj dostupnosti dát
- zlepšenie povedomia zamestnancov o potenciálnych hrozbách a tým zníženie počtu bezpečnostných incidentov
- zvýšenie dôveryhodnosti a konkurencieschopnosti, čo pozitívne prispieva k vylepšeniu reputácie organizácie a znižovaniu počtu auditov požadovaných klientmi
- nástroj pre identifikáciu rizík a ich následné riadenie a elimináciu
- zníženie rizika ekonomických strát v dôsledku zlyhania informačných technológií
- minimalizáciu hrozby odcudzenia firemných dát (know-how, údaje o klientoch a pod.)
- nepretržitú bezpečnosť informácií a systém riadenia bezpečnosti informácií, ktorý je neustále optimalizovaný a prispôsobovaný novým okolnostiam
Proces certifikácie systému manažérstva bezpečnosti informácií prebieha v nasledovných krokoch:
1., Podanie žiadosti o certifikáciu a jej posúdenie
- klient vyplní vstupný dotazník, ktorý spolu so žiadosťou zašle certifikačnej autorite, ktorá vyhodnotí, či klientov ISMS spĺňa základné predpoklady pre certifikačný audit
2., Certifikačný audit, 1. a 2. stupeň auditu
- 1. stupeň auditu je poznávací, jeho cieľom je stanoviť úroveň pripravenosti ISMS klienta
- 2. Stupeň auditu je certifikačný, kedy audítor skúma dôkazy o zhode s požiadavkami normy ISO/IEC 27001
Na základe zistení a výsledkov z auditu certifikačná autorita rozhodne o udelení, či neudelení certifikátu. Doba platnosti certifikátu je 3 roky.
3., Dozorný audit
- slúži na preskúmanie funkčnosti ISMS a vykonáva sa v dobe platnosti certifikátu najneskôr do jedného roku od ukončenia certifikačného auditu
4., Recertifikačný audit
- slúži na prekontrolovanie účinnosti ISMS a jeho úlohou je potvrdiť trvalú zhodu s normou ISO/IEC 27001. Recertifikačný audit sa musí vykonať do ukončenia platnosti certifikátu tak, aby nový certifikát mohol nadviazať na predchádzajúci.